багов в бб?
В нормальных компаниях настроены процессы иб. Это сканирование кода, пентест, зачастую несколькими кампаниями, и тп. И вот она выкатывается на багбаунти, на приватку. Туда приглашают "топов", которые забирают самые легкие баги, ведь они бедные топы и им нужно первым в приватку. А после всего этого уже тебе предлагают хакнуть. Тут как бы два варианта. Ты либо тыкаешь куда-то и тебе везёт. Либо приходится что-то придумывать.
Топов приглашают т.к. им доверия больше - рейтинг как минимум показывает что человек понимает что такое уязвимости, принесет валидные баги а не кучу спам отчетов А первый выход в приватку - самое нагруженное время для любой компании, когда еще не обязательно настроены грамотные процессы триажа/фикса/выплат
Я то на самом деле ни разу не багобаунтер. Занимаюсь вулн. ресёрчем прошивок и в последнее время думаю, что концепция "раскурил 1day и нашёл похожий 0day" нифига не работает. Вот и думаю в сторону творчества, чтобы находить нолики продуктивней
Обсуждают сегодня